База знаний
Вопросы и ответы
Персональные данные в 1С:Документооборот
В последнее время очень ужесточились требования к обработке персональных данных. Этот вопрос не дает покоя как обычным пользователям ДО, так и специалистам, связанным с внедрением данного программного продукта. Интересный факт заключается в том, что на вопрос как решается проблема контроля доступа к персональным данным, может ответить не каждый специалист, не говоря уже об рядовом пользователе. Поэтому предлагаем разобраться по порядку.
Документооборот – программный продукт, который полностью соответствует Федеральному закону №152 (ФЗ-152). Эта статья посвящена демонстрации функций документооборота учитывающих требования ФЗ-152
Включение возможности учета доступа к персональным данным
Раздел «Настройки и администрирование», Настройки программы:
Общие настройки программы:
Проставляем флажок «Учет доступа к персональным данным согласно требованиям Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Переходим в «настройки регистрации событий доступа»
Устанавливаем галочки напротив областей данных программы, где требуется контроль учета к персональным данным. Жмем «Записать и закрыть».
После этого, во всех указанных областях данных программы будет включен режим учета доступа к персональным данным.
Где и как это используется?
1) Справочник физические лица.
В карточке физического лица появляется вкладка «Персональные данные» и кнопка «Согласие на обработку ПНд»
На вкладке «Персональные данные» будут отражаться документы, в которых используются персональные данные текущего физического лица.
При нажатии на кнопку «Согласие на обработку ПНд» открывается форма ««Согласие на обработку ПНд». Данную форму следует заполнить соответствующими реквизитами отражающими данные физического лица. Провести документ.
После этого из формы Согласие на обработку по кнопке «Печать» можно посмотреть какой документ сформировала система по шаблону в автоматическом режиме.
В документе будут указаны: Организация, которая будет обрабатывать данные, оператор, ФИО физического лица и его персональные данные.
Данный документ распечатывается, отдается на подпись физическому лицу, после подписания вы храните данный документ, тем самым выполняя требование ФЗ-152.
Нажать на кнопку «Провести и закрыть»
Таким образом документ «Согласие на обработку ПДн» станет недействителен, отозванным.
Эту важную информацию можно получить в любое время при помощи отчетов:
· Действующие согласия на обработку персональных данных – список согласий с отбором по организации или по дате действия.
· Согласия на обработку персональных данных, срок действия которых истекает – показывает согласия, срок действия которых попадает в выбранный период.
Отчеты открываются по одноименным командам из списка отчетов раздела Документы и файлы.
2) Карточки документов, вкладка «Дополнительно»
При создании карточки документа появляется вкладка «Дополнительно».
На эту вкладку добавляются все физические лица, персональные данные которых используются в документе.
· Документооборот – программный продукт, который полностью соответствует Федеральному закону №152 (ФЗ-152). Эта статья посвящена демонстрации функций документооборота учитывающих требования ФЗ-152;
· Функционал прост и удобен;
· Имеет эффективную отчетную форму
Теперь на вопрос пользователей и коллег как в ДО учитываются требования закона об обработке персональных данных, можно отвечать несколькими пунктами:
протоколирование действий, совершаемых с персональными данными;
регистрация согласий на обработку персональных данных с указанием срока действия;
регистрация отзыва согласий на обработку персональных данных;
печать согласий на обработку персональных данных;
формирование отчетов о действующих и просроченных согласиях.
Для тестирования программы 1С:Документооборот вам достаточно заполнить форму, нажав на кнопку ниже.
Практическое руководство по выполнению требований 152-ФЗ
Каждая организация, обрабатывающая персональные данные (далее — Оператор), сталкивается с вопросом приведения своих информационных систем в соответствие с требованиями законодательства. Рассмотрим плюсы и минусы распространенных сценариев поведения Операторов и предложим альтернативный подход.
Отношение Операторов персональных данных к требованиям законодательства разнообразно. Кто-то предпочитает ничего не делать, не подавать уведомление об обработке ПДн в Роскомнадзор и надеяться, что вопросы контроля обработки ПДн его не коснутся. Кто-то отдает вопросы защиты информации полностью на откуп сторонним организациям. Кто-то находит шаблонные комплекты организационно-распорядительных документов в общедоступных источниках, корректирует их, распечатывает и на этом останавливается. Каждый из этих подходов имеет свои недостатки.
Бездействие Оператора не спасает его от плановых или внеплановых (например, организованных по жалобе субъекта ПДн) проверок контролирующих органов. На фоне новостей о постоянно растущих штрафах за нарушения требований обработки ПДн такой подход выглядит малопривлекательным.
При полной передаче вопросов защиты информации на аутсорсинг появляется риск значительно переплатить. Это часто выливается в покупку дорогостоящих средств защиты информации с избыточной и не всегда востребованной функциональностью. Кроме того, созданная и внедренная система защиты без поддержки пользователей и администраторов Оператора в какой-то момент перестает быть актуальной. Ведь система защиты — это не только реализация технических мер и средств, а еще и организационные мероприятия, направленные на выработку сотрудниками Оператора норм и правил корректного отношения к защищаемой информации.
Шаблонные комплекты из сети позволяют создать лишь видимость защиты информации, при этом информационные системы фактически остаются уязвимы и подвержены угрозам.
Мы предлагаем синтетическую концепцию, когда уполномоченное лицо Оператора самостоятельно проходит определенные шаги построения системы защиты. А на этапе технической реализации системы защиты возможно привлечение специализированных организаций.
Такой подход позволяет уполномоченным лицам Оператора лучше понять существующие процессы обработки информации, включить в работу всех заинтересованных лиц и в результате получить эффективную систему защиты информации. Рассмотрим подход подробнее.
Нормативная база
Каждый оператор, приступая к работе, задается вопросом — с чего начать? Определимся с нормативной базой, на которую будем опираться.
Мы рекомендуем начинать с идентификации систем, в которых осуществляется обработка ПДн, и их детального изучения. Дальнейшие действия будут зависеть от того, какая перед нами система.
Разберем порядок действий на отдельно взятой информационной системе.
ГИС или не ГИС
Сначала необходимо понять, относится ли рассматриваемая система к государственным информационным системам (ГИС) или нет. От этого будет зависеть подход к защите. Как определить, ГИС перед нами или нет, описано в отдельной статье.
Рекомендации для систем обработки ПДн далее по тексту будем называть «для ИСПДн», рекомендации для государственных систем — «для ГИС».
Актуальные угрозы ИБ
Необходимо определить, какие угрозы ИБ актуальны для рассматриваемой информационной системы. Определение актуальных угроз производится в соответствии с «Методикой определения актуальных угроз безопасности персональных данных». В общем случае алгоритм выглядит так:
Уровень защищенности ИСПДн
Необходимо определить, к какому типу относятся актуальные угрозы. Существуют три типа угроз:
Рассматриваем каждую угрозу в отдельности. Определяем, к какому максимальному типу они относятся.
Следующим шагом необходимо определить категорию обрабатываемых данных. Существуют следующие категории персональных данных:
В одной ИС могут обрабатываться несколько категорий персональных данных. Подробное определение категорий дано в № 152-ФЗ.
Необходимо определить объем обрабатываемых ПДн. Здесь возможны 3 вариации:
На основании типа угроз, категории ПДн и объема ПДн делается вывод об уровне защищенности системы в соответствии с постановлением Правительства № 1119.
Для Определения УЗ можно воспользоваться специальной таблицей:
Класс ГИС
Если рассматриваемая система относится к ГИС, необходимо определить ее класс в соответствии с приказом ФСТЭК № 17 от 11.02.2013.
Для этого определяются дополнительные к предыдущему разделу показатели:
На основании уровня значимости и масштаба ИС делается вывод о классе ГИС.
Базовый набор мер
После определения уровня защищенности и класса (для ГИС) нужно перейти к формированию общего перечня требований и мер, которые необходимо обеспечить в ИС.
Для ГИС, помимо требований, необходимых для ИСПДн, дополнительно добавляются требования приказа ФСТЭК № 17.
В результате должен быть сформирован общий перечень требований и мер, которые необходимо обеспечить в ИС. Назовем его базовый набор мер.
Адаптированный набор мер
Следующим шагом является анализ полученного базового набора мер и его актуализация. То есть удаление из него всех мер, несвойственных рассматриваемой информационной системе. Например, удаляем меру «Защита беспроводных сетей», если беспроводные технологии в ИС не применяются. В итоге получаем адаптированный базовый набор мер.
Дополненный набор мер
Исследуем адаптированный базовый набор мер и соотносим его с перечнем актуальных угроз ИБ. В случае если ни одна мера не закрывает отдельную актуальную угрозу, дополняем набор дополнительными мерами. В результате все актуальные угрозы должны быть закрыты мерами ИБ из набора мер. На выходе получаем дополненный адаптированный базовый набор мер.
Система защиты информации
В соответствии с полученным набором мер осуществляется выбор технических средств защиты или организационных мероприятий, направленных на выполнение мер. Происходит формирование проекта системы защиты информации.
Для ИСПДн сертифицированные средства защиты информации применяются для закрытия актуальных угроз ИБ.
Для ГИС применяются только сертифицированные средства защиты информации.
Реализуется внедрение системы защиты по созданному проекту. Внедряются организационные меры и технические средства защиты. Разрабатываются политики, положения, инструкции, которые внедряются в процессы обработки информации. Устанавливаются, настраиваются и вводятся в эксплуатацию средства защиты информации. На этом этапе привлекаются специализированные организации, оказывающие соответствующие услуги. При самостоятельном внедрении ознакомьтесь с типичными ошибками при построении СЗПДН.
Контур-Безопасность: Разработка, внедрение и сопровождение систем защиты ПДн.
Аттестация
После введения системы защиты в эксплуатацию проводится оценка соответствия принятых мер требованиям законодательства.
Для ИСПДн оценка соответствия в форме аттестации не обязательна. Достаточным является проведение испытаний на соответствие требованиям безопасности с выдачей заключения. Испытания могут быть проведены оператором как самостоятельно, так и с привлечением специализированных организаций.
Для ГИС оценка соответствия в форме аттестации является обязательной процедурой. Для аттестации по требованиям безопасности информации необходимо привлечение специализированной организации, уполномоченной на данную деятельность.
Контур-Безопасность проводит аттестационные испытания и выдает аттестаты соответствия требованиям по безопасности информации.
Что в итоге
В результате данного подхода получаем систему защиты информации. Как видим, привлечение специализированных организаций происходит только на заключительных этапах. Данный подход позволяет сэкономить организациям значительные средства, так как основную часть работ они выполняют самостоятельно.
Кроме того, последовательно выполняя шаги, уполномоченные лица Операторов напрямую участвуют в работе по защите ИС, что должно положительно сказаться на эффективности полученной системы защиты информации.
А что потом?
Система защиты информации внедрена и принята в эксплуатацию. Можно ли успокоиться и забыть о ней? Конечно нет. Мир информационных систем и технологий очень изменчив. Технологии развиваются и совершенствуются, изменяются информационные системы. Возможно, через какое-то время угрозы ИБ, которые не были актуальны при проектировании системы защиты, станут актуальны. Для поддержания системы защиты информации в рабочем состоянии рекомендуем проводить аудит информационной безопасности не реже одного раза в год, привлекая для этого специалистов — либо собственными силами.
Удачи на пути создания собственной эффективной системы защиты информации.
Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Персональные данные в 1С:Документооборот Описание База знаний
Персональные данные в 1С:Документооборот
В последнее время очень ужесточились требования к обработке персональных данных. Этот вопрос не дает покоя как обычным пользователям ДО, так и специалистам, связанным с внедрением данного программного продукта. Интересный факт заключается в том, что на вопрос как решается проблема контроля доступа к персональным данным, может ответить не каждый специалист, не говоря уже об рядовом пользователе. Поэтому предлагаем разобраться по порядку.
Документооборот – программный продукт, который полностью соответствует Федеральному закону №152 (ФЗ-152). Эта статья посвящена демонстрации функций документооборота учитывающих требования ФЗ-152
Включение возможности учета доступа к персональным данным
Раздел «Настройки и администрирование», Настройки программы:
Общие настройки программы:
Проставляем флажок «Учет доступа к персональным данным согласно требованиям Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Переходим в «настройки регистрации событий доступа»
Устанавливаем галочки напротив областей данных программы, где требуется контроль учета к персональным данным. Жмем «Записать и закрыть».
После этого, во всех указанных областях данных программы будет включен режим учета доступа к персональным данным.
Где и как это используется?
1) Справочник физические лица.
В карточке физического лица появляется вкладка «Персональные данные» и кнопка «Согласие на обработку ПНд»
На вкладке «Персональные данные» будут отражаться документы, в которых используются персональные данные текущего физического лица.
При нажатии на кнопку «Согласие на обработку ПНд» открывается форма ««Согласие на обработку ПНд». Данную форму следует заполнить соответствующими реквизитами отражающими данные физического лица. Провести документ.
После этого из формы Согласие на обработку по кнопке «Печать» можно посмотреть какой документ сформировала система по шаблону в автоматическом режиме.
В документе будут указаны: Организация, которая будет обрабатывать данные, оператор, ФИО физического лица и его персональные данные.
Данный документ распечатывается, отдается на подпись физическому лицу, после подписания вы храните данный документ, тем самым выполняя требование ФЗ-152.
Нажать на кнопку «Провести и закрыть»
Таким образом документ «Согласие на обработку ПДн» станет недействителен, отозванным.
Эту важную информацию можно получить в любое время при помощи отчетов:
· Действующие согласия на обработку персональных данных – список согласий с отбором по организации или по дате действия.
· Согласия на обработку персональных данных, срок действия которых истекает – показывает согласия, срок действия которых попадает в выбранный период.
Отчеты открываются по одноименным командам из списка отчетов раздела Документы и файлы.
2) Карточки документов, вкладка «Дополнительно»
При создании карточки документа появляется вкладка «Дополнительно».
На эту вкладку добавляются все физические лица, персональные данные которых используются в документе.
· Документооборот – программный продукт, который полностью соответствует Федеральному закону №152 (ФЗ-152). Эта статья посвящена демонстрации функций документооборота учитывающих требования ФЗ-152;
· Функционал прост и удобен;
· Имеет эффективную отчетную форму
Теперь на вопрос пользователей и коллег как в ДО учитываются требования закона об обработке персональных данных, можно отвечать несколькими пунктами:
протоколирование действий, совершаемых с персональными данными;
регистрация согласий на обработку персональных данных с указанием срока действия;
регистрация отзыва согласий на обработку персональных данных;
печать согласий на обработку персональных данных;
формирование отчетов о действующих и просроченных согласиях.
Как контролировать доступ к персональным данным в 1С?
Как контролировать доступ к персональным данным в 1С?
Журнал регистрации событий выглядит следующим образом.
В соответствии с требованиями Федерального закона N 152-ФЗ «О защите персональных данных» в 1С поддерживается контроль за доступом к персональным данным физических лиц, их контактной информации, данным о доходах и имуществе.
Подлежат контролю следующие события:
Получите понятные самоучители 2021 по 1С бесплатно:
Пошаговая инструкция настройки регистрации событий доступа к персональным данным.
Список возможных вариантов контроля:
По выбранным вариантам программа будет автоматически регистрировать в специальных регистрах кто и когда осуществлял доступ к указанным данным в программе.
После завершения данной настройки программа будет автоматически регистрировать события доступа к персональным данным.
Если Вы являетесь подписчиком системы «БухЭксперт8: Рубрикатор 1С Бухгалтерия», тогда читайте дополнительный материал по теме:
Если Вы еще не подписаны:
После оформления подписки вам станут доступны все материалы по 1С Бухгалтерия, записи поддерживающих эфиров и вы сможете задавать любые вопросы по 1С.
Получите еще секретный бонус и полный доступ к справочной системе БухЭксперт8 на 14 дней бесплатно
Похожие публикации
Карточка публикации
(1 оценок, среднее: 5,00 из 5)
Как ужесточились требования к работе с персональными данными в 2021 году
С 1 марта 2021 года действуют новые правила, которые обеспечивают дополнительную защиту персональных данных граждан. Теперь не допускается получение согласия на распространение таких данных «по умолчанию». А с 27 марта в два раза увеличиваются штрафы.
Изменения в Федеральный закон от 27.07.2006 № 152-ФЗ, который проясняет вопросы обработки, хранения и доступа к персональным данным (ПД), внес Федеральный закон от 30.12.2020 № 519-ФЗ.
Поправки решают проблему бесконтрольного использования персональных данных граждан третьими лицами.
В этой статье рассмотрим следующие вопросы:
Что изменилось в обработке персональных данных с 1 марта
Как прекратить передачу данных, разрешенных для распространения
Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта.
Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию:
Указанные ПД могут обрабатываться только оператором, которому оно направлено.
Требования к обработке персональных данных
На протяжении последних нескольких лет работе с персональными данными физлиц уделяется особое внимание. Ключевые изменения произошли в 2017 году, когда Федеральный закон от 07.02.2017 № 13-ФЗ внес поправки в ст. 13.11 КоАП. Тогда был заметно расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПД) и увеличены штрафы.
В Федеральном законе от 27.07.2006 № 152-ФЗ даются определения трем ключевым понятиям, вокруг которых часто и возникают споры: персональные данные, оператор и обработка персональных данных.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами:
Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПД относятся (вместе и даже по отдельности):
Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.
В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.
Каждая категория операторов так или иначе сталкивается с обработкой ПД. Физлица используют ПД клиентов. ИП запрашивают эти данные, нанимая специалистов на работу, или собирают ПД на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПД. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПД граждан.
За что и на какие суммы штрафуют в 2021 году
27 марта вступает в силу Федеральный закон от 24.02.2021 № 19-ФЗ, который значительно увеличивает штрафы за нарушения в работе с персональными данными.
Последний раз административную ответственность в этой сфере усиливали в 2017 году. Но с конца марта суммы штрафов не просто увеличатся в два раза.
Обратите внимание на следующие нововведения:
1. За любые правонарушения в области обработки персональных данных теперь будут сразу штрафовать. Ранее предусматривалась такая санкция, как предупреждение.
2. До 27 марта 2021 года повторное нарушение не выделялось как самостоятельный состав правонарушения. А теперь будет выделяться, а штрафы по нему будут в несколько раз выше, чем за первичное нарушение.
Например, если выяснится, что юрлицо запрашивает персональные данные, которые несовместимы с целями сбора, то за первое нарушение ему придется заплатить штраф в размере от 60 000 до 100 000 руб., а за повторное — от 100 000 до 300 000 руб.
3. Срок давности привлечения к административной ответственности за нарушения в области персональных данных тоже увеличился. Если ранее он составлял три месяца, то с 27 марта 2021 года будет увеличен до одного года.
При повторном нарушении
При повторном нарушении
При повторном нарушении
Такое правонарушение, как обработка ПД без получения согласия субъекта, предусматривает самые крупные штрафы для всех категорий операторов. Так, при повторном нарушении юрлицу придется заплатить штраф до 500 000 руб.
В связи с этим возникает много вопросов. Как уведомить Роскомнадзор об обработке персональных данных? Что делать владельцу сайта, чтобы избежать штрафов?
Что делать владельцу сайта, чтобы избежать штрафов
Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПД, то под каждую из них нужно добавить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.
Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПД. Это может быть как пользовательское соглашение, согласие на обработку ПД, так и договор, политика конфиденциальности, часть оферты — название не столь принципиально.
Например, на сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите внимание на то, что в нем есть пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать. А вот на сайте Adidas текст согласия на обработку ПД располагается прямо с формой регистрации, при этом ссылка ведет на политику конфиденциальности компании.
Шаг 3. Подготовьте текст документа с условиями обработки ПД. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ):
Если вы составляете пользовательское соглашение на основе чьего-то готового документа, корректируйте цели обработки данных и перечень данных под себя, свой бизнес.
Шаг 4. Подготовьте Политику в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите ее на сайте в свободном доступе.
Шаг 5. Подайте уведомление об обработке ПД в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПД. Но лучше поздно, чем никогда.
За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.
Случаи, когда уведомление Роскомнадзора не требуется
Уведомлять Роскомнадзор не нужно, если ПД:
Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.
Конфиденциальность персональных данных: когда ее не нужно обеспечивать
В соответствии с ч. 2 ст. 22 Федерального закона № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:
Когда не нужно получать согласие на обработку персональных данных
Согласно п. 2-11 ч. 1 ст. 6. Федерального закона № 152-ФЗ согласие не требуется в случаях, когда обработка ПД:
Что такое портал персональных данных
Сегодня все новости, аналитические материалы, важные документы, рекомендации по обработке персональных данных, реестр операторов и другую необходимую информацию можно найти на портале персональных данных. Ответственность за ресурс возложена на Роскомнадзор.
Как еще планируют ужесточить обработку персональных данных
Минцифры предложило еще больше усовершенствовать законодательство в сфере персональных данных и регламентировать политику обработки обезличенных данных. Необходимость таких мер связана с тем, что уже сейчас стали доступны технологии, позволяющие деобезличивать данные и определять по ним конкретного человека.
Министерство предлагает запретить операторам:
Как уточнили в Минцифре, есть только одна причина, по которой обезличенные персональные данные можно использовать без согласия — в исследовательских и статистических целях.
Более детальная информация об обработке персональных данных — в материалах наших экспертов:
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.